我們的主網站上有一個 2008 R2 活動目錄伺服器。最近我們開設了一個小型二級網站。我的問題很簡單:我們的 2 個站點透過 VPN 連接,我們是否必須在輔助站點上安裝輔助 AD 伺服器,或者我們可以在這 2 個站點上使用主 AD 嗎?
答案1
理論上不需要,您不必在兩個網站上都擁有 DC。
如果您在輔助網站上有DNS 伺服器(或您的用戶端指向主網站上的dns 伺服器),並且具有主網站上網域控制站的srv 記錄,並且您的用戶端都可以存取網域控制站,那麼您就不需要需要另一個現場。
但建議您擁有它,因為 VPN 服務可能會發生故障,並且輔助網站上的用戶端存在速度問題,特別是如果您在輔助網站上沒有 DNS 伺服器的話。
當 Active Directory 用戶端(電腦或使用者)嘗試登入網域或某些網域服務時,它會透過向其係統上列出的 DNS 伺服器(NIC 卡設定)詢問網域控制站的位址來尋找網域控制站(這些是srv 記錄,不是常規的主機A 記錄),因此輔助站點上的所有用戶端都必須在具有這些記錄的NIC 卡上設定DNS 伺服器,這表示如果VPN 發生故障並且您的用戶端都在尋找在主要位置的DNS 上,所有這些網站的DNS 解析都會下降(它們將無法進行Internet 瀏覽和類似操作),因此絕對建議您在輔助網站上至少擁有一個支援Active Directory 的DNS 伺服器。
答案2
這並不是 100% 必要的,並且有一些方法可以解決它。不過,擁有一個還是非常實用的。它將有助於避免 DNS、身份驗證、登入時間(應用程式群組原則)、工作站的時間服務等問題。您將如何處理站點的 DHCP?
如果您擔心 AD 的安全性,可以安裝唯讀 DC。
如果您的 VPN 連結斷開,且現場沒有 AD 伺服器,您將遇到各種身份驗證問題,並且登入時間將大大增加。您可以將本機 DNS 伺服器設定為 AD DNS 的輔助伺服器(並快取記錄),但這只能解決問題之一。